Esta página foi traduzida pela API Cloud Translation.

Cotas

O Google Cloud impõe cotas sobre o uso de recursos. Para o Cloud KMS, as cotas são aplicadas na utilização de recursos como chaves, keyrings, versões de chaves e locais. Para saber como gerenciar ou aumentar suas cotas, consulte Monitorar e ajustar as cotas do Cloud KMS.

Conferir as cotas do Cloud KMS

Não há cotas para o número de recursos KeyRing, CryptoKey ou CryptoKeyVersion, somente para o número de operações.

Algumas cotas dessas operações se aplicam ao projeto de chamada, o projeto do Google Cloud que faz chamadas para o serviço do Cloud KMS. Outras cotas se aplicam ao projeto de hospedagem, o projeto do Google Cloud que contém as chaves usadas para a operação.

As cotas de chamada de projeto não incluem o uso gerado pelos serviços do Google Cloud que usam chaves do Cloud KMS para a integração de chaves de criptografia gerenciadas pelo cliente (CMEK). Por exemplo, as solicitações de criptografia e descriptografia que vêm diretamente do BigQuery, Bigtable ou Spanner não contribuem para as cotas de solicitações criptográficas.

O console do Google Cloud lista o limite de cada cota em consultas por minuto (QPM, na sigla em inglês), mas as cotas de hospedagem de projetos são aplicadas por segundo. As cotas aplicadas em consultas por segundo (QPS) negam solicitações que excedam o limite de QPS, mesmo que o uso por minuto seja menor do que o limite de QPM listado. Se você exceder um limite de QPS, vai receber um erro RESOURCE_EXHAUSTED.

Cotas sobre o uso de recursos do Cloud KMS

A tabela a seguir lista cada cota aplicada aos recursos do Cloud KMS. A tabela mostra o nome e o limite de cada cota, a qual projeto ela se aplica e as operações que são contabilizadas. Você pode inserir uma palavra-chave no campo para filtrar a tabela. Por exemplo, é possível inserir calling para ver apenas as cotas aplicadas ao projeto de chamada ou encrypt para ver apenas as cotas relacionadas às operações de criptografia:

Cota	Projeto	Limite	Recursos e operações
Solicitações de leitura `cloudkms.googleapis.com/read_requests`	Chamando o projeto	300 QPM	cryptoKeys:get, getIamPolicy, list, testIamPermissions cryptoKeyVersions:get, list ekmConnections:get, getIamPolicy, list, testIamPermissions, verifyConnectivity importJobs:get, getIamPolicy, list, testIamPermissions keyRings:get, getIamPolicy, list, testIamPermissions locations:get, list Isento: operações do console do Google Cloud.
Solicitações de gravação `cloudkms.googleapis.com/write_requests`	Chamando o projeto	60 QPM	cryptoKeys:create, patch, setIamPolicy, updatePrimaryVersion cryptoKeyVersions:create, destroy, import, patch, restore ekmConnections:create, patch, setIamPolicy importJobs:create, setIamPolicy keyRings:create, setIamPolicy Isento: operações do console do Google Cloud.
Solicitações criptográficas `cloudkms.googleapis.com/crypto_requests`	Chamando o projeto	60.000 QPM	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt locations:generateRandomBytes Isenção: operações de integrações do CMEK.
Solicitações criptográficas simétricas do HSM por região `cloudkms.googleapis.com/hsm_symmetric_requests`	Projeto host	500 QPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify, rawEncrypt, rawDecrypt
Solicitações criptográficas assimétricas do HSM por região `cloudkms.googleapis.com/hsm_asymmetric_requests`	Projeto host	50 QPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify
O HSM gera solicitações aleatórias por região `cloudkms.googleapis.com/hsm_generate_random_requests`	Projeto host	50 QPS	locations:generateRandomBytes
Solicitações criptográficas externas por região `cloudkms.googleapis.com/external_kms_requests`	Projeto host	100 QPS	cryptoKeys:encrypt, decrypt cryptoKeyVersions:asymmetricDecrypt, asymmetricSign, getPublicKey, macSign, macVerify

Exemplos de cota

As seções a seguir incluem exemplos de cada cota usando os seguintes projetos de exemplo:

KEY_PROJECT: um projeto do Google Cloud que contém chaves do Cloud KMS, incluindo chaves do Cloud HSM e do Cloud EKM.
SPANNER_PROJECT: um projeto do Google Cloud que contém uma instância do Spanner que usa as chaves de criptografia gerenciadas pelo cliente (CMEKs) que residem em KEY_PROJECT.
SERVICE_PROJECT: um projeto do Google Cloud que contém uma conta de serviço usada para gerenciar recursos do Cloud KMS que residem em KEY_PROJECT.

Solicitações de leitura

A cota de solicitações de leitura limita as solicitações de leitura do projeto do Google Cloud que chama a API Cloud KMS. Por exemplo, a visualização de uma lista de chaves em KEY_PROJECT de KEY_PROJECT usando a Google Cloud CLI é contabilizada na cota de KEY_PROJECT Solicitações de leitura. Se você usar uma conta de serviço em SERVICE_PROJECT para conferir a lista de chaves, a solicitação de leitura será contabilizada na cota de solicitações de leitura de SERVICE_PROJECT.

O uso do console do Google Cloud para conferir os recursos do Cloud KMS não contribui para a cota de solicitações de leitura.

Solicitações de gravação

A cota de solicitações de gravação limita as solicitações de gravação do projeto do Google Cloud que chama a API Cloud KMS. Por exemplo, a criação de chaves em KEY_PROJECT usando a CLI gcloud é contabilizada na cota de solicitações de gravação de KEY_PROJECT. Se você usar uma conta de serviço em SERVICE_PROJECT para criar chaves, a solicitação de gravação será contabilizada na cota de solicitações de gravação de SERVICE_PROJECT.

O uso do console do Google Cloud para criar ou gerenciar recursos do Cloud KMS não contribui para a cota de Solicitações de leitura.

Solicitações de criptografia

A cota de solicitações criptográficas limita as operações criptográficas do projeto do Google Cloud que chama a API Cloud KMS. Por exemplo, a criptografia de dados usando chamadas de API de um recurso de conta de serviço em SERVICE_PROJECT usando chaves de KEY_PROJECT conta para a cota de solicitações criptográficas de SERVICE_PROJECT.

A criptografia e a descriptografia de dados em um recurso do Spanner em SPANNER_PROJECT usando a integração do CMEK não contam para a cota de solicitações criptográficas de SPANNER_PROJECT.

Solicitações criptográficas simétricas do HSM por região

A cota de solicitações criptográficas simétricas do HSM por região limita as operações criptográficas usando chaves simétricas do Cloud HSM no projeto do Google Cloud que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves simétricas do HSM é contabilizada na cota de solicitação criptográfica simétrica do HSM por região KEY_PROJECT.

Solicitações criptográficas assimétricas do HSM por região

A cota de solicitações criptográficas assimétricas do HSM por região limita as operações criptográficas usando chaves assimétricas do Cloud HSM no projeto do Google Cloud que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves assimétricas do HSM é contabilizada na cota de solicitações criptográficas assimétricas do HSM por região KEY_PROJECT.

O HSM gera solicitações aleatórias por região.

Os limites de cota de solicitações aleatórias geradas pelo HSM por região geram operações de bytes aleatórios usando o Cloud HSM no projeto do Google Cloud especificado na mensagem de solicitação. Por exemplo, as solicitações de qualquer origem para gerar bytes aleatórios em KEY_PROJECT são contabilizadas na cota de KEY_PROJECT HSM gerar solicitações aleatórias por região.

Solicitações criptográficas externas por região

A cota de solicitações criptográficas externas por região limita as operações criptográficas que usam chaves externas (Cloud EKM) no projeto do Google Cloud que contém essas chaves. Por exemplo, a criptografia de dados em um recurso do Spanner usando chaves EKM conta para a cota de solicitações criptográficas externas por região do KEY_PROJECT.

Informação de erro na cota

Se você fizer uma solicitação depois que a cota for alcançada, ela resultará em um erro RESOURCE_EXHAUSTED. O código de status HTTP é 429. Para saber como as bibliotecas de cliente exibem o erro RESOURCE_EXHAUSTED, consulte Mapeamento da biblioteca de cliente.

Se você receber o erro RESOURCE_EXHAUSTED, poderá estar enviando muitas solicitações de operações criptográficas por segundo. Você pode receber o erro RESOURCE_EXHAUSTED mesmo que o console do Google Cloud mostre que você está dentro do limite de consultas por minuto. Isso pode acontecer porque as cotas do projeto de hospedagem do Cloud KMS são mostradas por minuto, mas são aplicadas em uma escala por segundo. Para saber mais sobre métricas de monitoramento, consulte Como monitorar e alertar sobre métricas de cota.

Para mais detalhes sobre como resolver problemas de cota do Cloud KMS, consulte Resolver problemas de cota.

A seguir

Saiba como usar o Cloud Monitoring com o Cloud KMS.
Saiba como monitorar e ajustar as cotas do Cloud KMS.